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BSA | が ・ ソ フト ウェ ア ・ ア ライ アン ス (以下 、BSA+ は 「 政 府 情報 シス テム の た め の セ キュ 
リティ 評価 制度 (ISMAP) に お ける 各種 基準 ( 案 ) 」 に つい て 経済 産業 省 、 総 務 省 、 内 閣 サ 
イ バ ー セ キュ リティ セン ター、 情 報 通信 技術 (IT) 総合 戦略 室 に 対し て 以下 の 通り 意見 を 提出 














































































































BSA 会 員 企 業 は せ 、 ク ラウ ドコ ン ピ ビュー ティ ング を 含む 最 先端 の 技術 、 製 品 、 サ ービス 又 関 連 
サー ビス の 提供 を 通し て 、 世 界 の 情報 経済 と 市 民 の 生活 向上 に 寄与 し て いま す 。 ク ラウ ドコ ン 
ピュ ー テ ィング は 現在 、 ま た 、 今 後 も 最も 重要 な 技術 と な っ て いく で し ょ う 。 特に 現在 の よう 
な 世界 的 危機 下 に お いて は 、 緊 急 の 需要 に 応え 、 リ モー トワ ー ク を 可能 と する た め の 重 要 か つ 
信頼 で きる 機能 を 維持 し 、 世 界 中 の 政府 を 支え を てい ます 。 従っ て 、 関 連 す る 規制 や 政策 は 安全 
な クラ ウド サー ビス の 発展 を 後押し すべ き で あり ます 。 又 、BSA は 、 ク ラウ ドサ ービス を 含 
む 政 府 調達 に お いて は 、 サ イ バ ー セ キュ リティ の 優先 が 重要 で ある こと も 理解 し て お り ま す 。 
































































































































この 点 に お いて 、 我 々 は 、 日 本 政府 が 政府 全体 に お ける 安全 な クラ ウド サー ビス 導入 を 促進 す 
る た め に 継続 的 に 努力 を 続け 本 DP ロロ 
の 意見 交換 の 機会 を 設け て くれ た こと に 感謝 し て お り ま す 。BSA は クラ ウド サー ビス の 安全 
性 評価 に 関す る 検討 会 か ら の 2019 年 4 月 の 「 中 間 と り ま と め ( 案 ) 」 に 対し て 2、 又 、12 月 
の 「 と り ま と め ( 案 ) 」 に 対し て “意見 を 出し て お り 、ISMAP に お ける 各種 基準 ( 案 ) に 我々 
の 意見 を 考慮 に 入れ て 頂い た こと に 感謝 し て お り ま す 。 

















































































































サイ バー セキ ュ リ ティ の 解決 策 と し て 最も 効果 的 な の は 、 リ スク を 起点 と し 、 柔 軟 で 成果 志 目 
で ある 政策 で す 。ISMAP は まだ 策定 段階 ご は あり ます が 、 こ の 前 提 は 概ね 満た され て いる と 
我々 は 見 て いま す 。 そ し て 、 こ の 取り 組み に さら に 頁 献 する た め 、 以 下 の 提 案 を 述べ させ て 頂 
きま す 。 












































1 BSA の 活動 に は 、Adobe, Amazon Web Services, Atlassian, Autodesk, AVEVA, Bentley Systems, Box, 

Cadence, Cisco, CNC/Mastercam, IBM, Informatica, Intel MathWorks, Microsoft, Okta, Oracle, PTC, 

Salesforce, ServiceNow, Siemens Industry Software Inc., Sitecore, Slack, Splunk, SynopsyS, Trend Micro, 

Trimble Solutions Corporation, Twilio, Workday が 加盟 企業 と し て 参加 し て いま す 。 詳しく は ウェ ブサ イト 
(https:/bsa.or.jp/) を ご 覧 くだ さい 。 





2 https:/bsa.or.jp/wp-contentuploads/20190416j.pdf 
3 https:/bsa_.or.jp/wp-contentuploads/20191225j.pdf 
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[ISMAP 管理 基準 ( 案 ) ] 


第 2 章 /2.2. 言 明 書 に 記載 すべ き 内 容 /2.2.5 監査 の 対象 と な る 期間 


[ISMAP 情報 セキ ュ リ ティ 監査 


ガイ ドラ イン ( 案 ) ] 


第 4 章 /4.5 他 の 認証 ・ 監 査 制度 等 の 証拠 の 利用 











ISMAP 管理 虹 






































リティ 監査 ガイ 


全て の 管理 基 浴 に つい て 、 毎 年 、 
ドラ イン に お いて 、 








お いて 収集 され た 証拠 を 再 利用 











は 技術 革新 的 で や る クラ ウド サー ビス プロ バイ ダー (CSP) 


手続 は 高額 で や る だ け で な く 、 
果たす 時 間 を 奪う こと 
も し く は 3 年 ご と の 
り ま せん 。 こ の こと か ら も 、 



























































標準 
する こと を 認め る 旨 




















に 
(に 、 





監査 要求 を 満た す た め 





に と っ て は 障壁 と な り ま す 。 
セキ ュ リ ティ 人 員 か ら 本 来 の 南 務 を 





s 監査 制 





























関連 する 先 


準 ( 案 ) の 2.2.5 で は 、 ク ラウ ドサ ービス リス ト に 登録 され る クラ ウド サー ビス 
監査 が 必要 で ある と 記さ れ て いま す 。 
監査 手続 の 実施 に 他 の 認 
が 記さ れ て いる も の の 、 


ISMAP 情報 セキ ュ 
度 や 内 部 監査 等 に 





5 行 


























に も な り ま す 。 そ の 点 か ら も 、 多 く の 国 
監査 要件 と な っ て お り 、 そ れ に よっ て セキ ュ リ ティ が 





監査 手続 を 簡略 化し 、CSP 側 の 不要 な 負担 を 














方 法 を 引き 続き 模索 し て 頂き た く 





ISMAP に お いて は 、 顔 度 を 減ら 
性 に 
な り 、 大 が か りな シス テム 変更 に 





す 。 ク ラウ ドサ ービス の 複 林 











け て いま す 。 毎年 監査 が 実施 さ 
く て は な ら ず 、 常 時 、 監 査 対 
度 ご と の 監査 
加 資 格 の 登録 制度 に お 
関係 者 の 作業 を 減ら す 上 で も 、 
こと を 奨め ます 。 



































我々 は また 、 
(Software-as-a-Service) 


laaS (Infrastructure-as-a-Service) 
と いっ た 、 











思 v \ ま す 。 














し た 監査 スケ ジュ ー ル を 設 
よっ て は 、ISO-27000 の よう 
お いて は 短く な る こと も あり 


れる こと ! 




















荷 が 増す こと ! 





こ な り 




















に な れ ば 、CSP は 連続 
応 に 追わ れる こと と な り ま す 。 また 、 
に より 関連 する 契約 更新 の 


ける 有効 期間 が 3 年 ご と で ある こと か ら も 、 監 査 ( 


EY 
際 認 証 の 手 # 












































定 さ れる こと を 我々 は 推奨 し ま 
に 理 る 活動 と 





な 監査 手続 は 長期 

















之 に お いて は 、2 年 
損なわ れる こと も あ 
最小 限 に お さえ る 


投資 
監査 














ます が 、 
し て 


通常 は 3 月 





FE の 昌 























周 達 省庁 側 に 


ul 





ます 。 




















監査 期間 を 3 年 ご と に 変更 し 、 


、PaaS (Platform-as-a-Service) 
異な る クラ ウド コン ピュ ー テ ィング の モデ ル に 管理 

















般 競 


、SaaS 


有 間 を 設 
監査 プロ セス を 実施 し な 
と っ て も 、 和 撫 
官公 庁 の 一 般 競 争 入 札 参 

こ 係る 全て の ISMAP 
入札 の 要件 と 合わ せる 




















準 





を 合わ せ て いく こと を 奨め ます 。 こ れ ら の モデ ル は 、CSP と クラ ウド サー ビス カス タマ 





(CSC) 間 の 関係 性 や 、 


前 述 し た よう に 、 


と に な る の で は な いか と 懸念 し て お り ま す 。 ク ラウ ドサ ービス の IT 








人 
世界 に 
間 に 

上 
は 、 
時 に 

要 が ある こと を 意味 し ます 。 


が 必要 で あり 、 国 
お ける 同様 の 第 














| 度 に お い 


監査 人 が 限ら れ て いる と 
































ISMAP に 係わる CSP、 


も 、 こ れ ら を 考慮 し た 上 で 、 不 








監査 人 と CSP に 

















に CSP は 管理 基準 要件 を 
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責任 共 


BSA は ISMAP が 


ISMAP を 実施 する 省庁 と CSP の 間 で 3 ぅ a 
こ 、 最 も 重要 な シス テム を 人 防 征 


監査 人 、 
日 | 


と っ て の 手続 を 
加 ガ イド ライ ン も し く は Q&A を 数 カ月 内 に 策定 し て 


有 に お ける 分 配 





際 的 に も これ を 効果 的 に 実施 で きる 有 能 な 人 材 は 限ら れ て v 
て は 、 こ れ が 課題 と な り ま し た 。 特に 運 
お いて は 、 新 た な 要件 で 多数 の クラ ウド 
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ei 


有朋 











いう こと は 、 





プッ 


還 ロ 因 














日 本 の 限ら れ た クラ ウド 監査 人 材 


等 、 様 々 な 点 で 異な り ま す 。 




















ービス 初め て 認証 を 受け る こ と に 
E な 職員 が 高額 に な る こと を 意味 し ます 。 
の 期待 と 金額 を 協議 する 


に 過剰 な 負荷 を か ける こ 








監査 や 認証 に は 高 
































H 開 始 か ら 最 わ 
こ な り ます 。 











ーー 
ヽ ーー 




















する た め 高い 技 


は 、 





政府 ( 























能率 的 に する た め 
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E に 理解 する こと が で き 、 初 期 の 証 


Japan Representative Office 


能 を も っ た 人 員 を 


に 有効 な の は 
頂く こと で す 。 こ れ に より 、 過 
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こと っ て の 限ら れ た 人 材 を より 有効 に 活用 する た め に 
「 欠 な 管理 策 を さら に 識別 し 、 狭 め る こと を 奨め ます 。 



































、ISMAP 管理 胡 








本 で + 





























『 価 活動 を 効率 化す る こと が で 
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度 な 専 
‘ます 。 
J の 2 年 


関す る 
E 用 開始 前 





追 








きま す 。 ま た 、ISMAP の 策定 手続 と 並行 し て 、 日 本 の クラ ウド サー ビス の た め の 監査 と 認 
証人 材 を 訓練 し 、 技 能 を 磨く 手法 を 日 本 政府 が 策定 する こと を 推奨 し ます 。 









































[ISMAP クラ ウド サー ビス 登録 規則 ] 
8 章 サ ービス 登録 の 有効 期間 








上 記 と 同様 の 懸念 と な り ま す が 、8.1 で は 、 登 録 者 は 登録 の 対象 と な っ た 監査 の 対象 期間 の 未 
ORE し な けれ ば な ら な い 、 と 記し て あり ます 。 上 






























































す 。 
第 4 章 サー ビス 登録 に 関す る 申請 /4.2、 第 5 章 申請 の 受理 /5.4 (1)、 第 6 章 審査 /6.1 (4) 




















上 記 に お いて は 、 申 請 者 に よる サー ビス 登録 、 問 い 合 わせ へ の 回 答 、 ま た 審査 時 の 発見 事 
項 に 係る 統制 の 改善 に 関す る 期間 が 設定 され て いま す が 、 現在 の 1 ヶ月 か 2 ヶ月 と いう 期間 
は 、 申 請 者 が 要件 を 完了 する た め に 十分 な 準備 期間 と な っ て お り ま せん 。 従っ て 、 期 間 は 3 ヶ 
月 と する こと を 奨め ます 。 



























































































































































[ISMAP 管理 基準 ( 案 ) ] 
第 4 章 マネ ジメント 基準 /4.2. 記載 内 容 に つい て 


4.2 で は 、CSC と CSP 間 に お いて 、 ク ラウ ドサ ービス に お ける 情報 セキ ュ リ ティ リス ク に 
の の ウリ の 0 し 情報 
換 す る こと は 、 サ イ バ ー セ キュリ ティ の 成果 を あげ る た め に は 不可 欠 で ある 、 と いう こと に 
我々 は 同意 し ます 。 これ に 適合 する 国際 規格 は ISO27005:2018 と な り ま す 。 





























また 、 日 本 政府 が 民間 と 公共 部 門 か ら 集 め た 政府 ネッ トワ ー ク へ の 情報 セキ ュ リ ティ リス ク に 
関す る あら ゆる 情報 や 機密 情報 を CSP と や り と りす る た め に 、 日 本 政府 が 正式 な 仕組 み を 策 
定 す る こと を 奨め ます 。 政 府 の デー タ や サー ビス の 保護 の た め に 適用 すべ き 管理 基準 を CSP 
が 適切 に 判断 する た め に は 、 こ れ が 不可 欠 と な り ま す 。 



































第 6 章 情報 セキ ュ リ ティ の た め の 組 織 
6.3.P クラ ウド サー ビス 利用 者 及び クラ ウド サー ビス 事業 者 の 関係 


ISMAP に お いて は 、 政 府 の クラ ウド サー ビス 調達 に お いて 、 適 切な が セ キュ リティ ・ レ ベル を 
確保 する た め に 一 律 的 な アプ ロー チ を と っ て お り ま す が 、 政 府 期間 の サー ビス は 多様 で 、 サ ー 
ビス の 管理 策 は 個別 の クラ ウド サー ビス 契約 (クラ ウド SLA) で 網 維 さ れ て いる こと を 
ISMAP 関係 者 が 理解 する こと も 重要 で す 。ISMAP に お いて は 中 核 と な る 、 基 本 的 な 管理 策 を 
まとめ て お り 、 そ の 他 の 管理 策 に つい て は 、CSP と 調達 省庁 問 で 、 両 者 の 共同 責任 の 詳細 も 
含め 、ISMAP 制度 で の 調達 時 に 、 ク ラウ ド SLA に お いて 合意 され る と いう 理解 で お り ま す 。 
この 点 に つい て ISMAP 関係 者 に 対し て 明確 化す る こ と を 奨め ます 。 




















































































































[ISMAP クラ ウド サー ビス 登録 規則 ] 
第 9 章 情報 セキ ュ リ ティ イン シ デ ン ト 発 生 時 の 報告 





1 に お いて は 、 登 録 さ れ て いる サー ビス に つい て 情報 セキ ュ リ ティ イン シ デ ン ト が 生じ た 場 
合 に CSP が 報告 する こ UR NR NE ON RS 
ISMAP 運営 委員 会 に 報告 され る べき か が 明確 に な っ て いる と 、 報 告 こ お い て 大 変 有 効 で 
す 。 政府 の サー ビス や デー A i 
際 の 連絡 手段 と し て 、 こ の 規則 が 重要 と な っ て くる こと は 理解 し て お り ま す が 、 報 告 に お ける 
敷居 が 低 す ぎる と 、 政 府 に 影響 を 及ば さ な い 、 解 決済 み の 、 さ し て 深刻 で な い セ キュ リティ 事 
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象 に ISMAP 運営 委員 会 が 忙殺 され る こと と な り ま す 。 従っ て 、 未 解決 、 又 、 緊 急 で 、 デ ー タ 
順 失 や 重大 な 影響 を 及ぼ す 結 果 と な っ た セキ ュ リ ティ イン シ デ ン ト の み を 報告 と する こと を 奨 
め ま す 。 ま た 、 個 人 情報 に 関連 か る イン シ デ ン ト に 関し て は 、 個 人 情報 保護 法 に お ける 漏えい 
報告 要件 と 合致 させ る こと を 求め ます 。 
























































最後 に 、 本 案 に は 報告 に 使う 様式 が 添付 され て いな いた め 、 報 告 に お いて どの よう な 情報 が 求 
め ら れる の か を 本 登録 規則 に お いて 明確 化し て 頂き た く 考 えま す 。 





第 15 章 登録 に 係る 異議 申立 て 














ISMAP クラ ウド サー ビス 登録 規則 の 15 章 に お いて は 、 申 請 者 が 指定 の 様式 に よっ て サー ビス 
登録 に 関す る 処置 へ の 異議 申し 立て を ISMAP 運営 委員 会 あて に する こと が で きる と し て い 
す 。 そ の よう な 意義 申し 立て に は ISMAP 運営 委員 会 に よる 特定 の クラ ウド サー ビス の 登録 
耕 も 含ま れる か も し れ ま せん が 、 本 規則 案 に は 指定 の 様式 が 含ま れ て いな いた め 、 ど の よう な 
情報 が 提供 され る べき か が 明確 で やり ませ ん 。 決断 に 関す る 申し 立て の 際 に 求め られ る 情報 に 
つい て 、 本 規則 に 明確 な 記載 を する こと を 求め ます 。 
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別表 1. 申請 書 の 提出 方 法 、 様 式 1-14 









































別表 1 に 請書 は 郵送 と する こと が 記載 され て お り ま す が 、 日 本 政府 が デジ タル ファ ー ス ト 
を 原則 と eS と か ら も 、 オ ン ラ イン で の 申請 書 提出 を 推奨 し ます 。 














また 、 様 式 1 か ら 14 が 本 案 に 添付 され て いな いた め 、 登 録 に 際 し て 求め られ る 項目 や 情報 を 
確認 する 上 に お いて も 、 実 際 の 様式 が ISMAP 関係 者 に 公開 され る と 助かり ます 。 

















[政府 情報 シス テム の た め の セ キュ リティ 評価 制度 (ISMAP) 基本 規程 ( 案 ) ] 
第 9 章 その 他 























9.1 で は ISMAP 運営 委員 会 及び 制度 運営 に 携わる 者 は 、 秘 容 情報 が 無 権限 の 者 に 伝わり 、 情 
報 の 機密 性 が 損なわ れる こと が な いよ うに し な けれ ば な ら な い 、 と し て いま す 。 し か し 、 こ の 
秘密 保持 が どの よう に 実施 さき れる の か 、 ま た 、ISMAP の 実施 プロ セス の 中 で 、 別 途 詳 細 な 秘 
密 保 持 契約 (NDA) ! NO SM 明確 で は あり ませ ん 。ISMAP 関係 者 が 意見 
で きる よう に 、 こ の 点 に 関し て 提示 頂け る と 助かり ます 。 
















































































第 1 章 総則 /1.4.5 ISMAP 運営 委員 会 





























今後 の 手続 き に 透明 性 を も た ら す た め に も 、ISMAP 運営 委員 会 の 構成 員 、 又 、 議 事 録 の 公開 
も 含め ISMAP 運営 委員 会 に お ける 協議 内 容 が ISMAP の 利害 関係 者 と どの よう に 共有 され る 
の か も 明確 MT 































































































[結び ] 




















本 意見 が ISMAP の 各種 基準 を 完成 させ る 上 で 参考 と な る こと を 願う と と も に 、 公 共 分 野 に お 
いて 、 安 全 で 効率 的 な クラ ウド コン ピュ ー テ ィング ・ ソ リュ ーション を さら に 広く 普及 させ る 

に 協力 し て いき た く 存 じ ま す 。 本 意見 に 関す る ご 質問 、 ま た 、 意 見 交換 に 関し 、 いつでも 
ご 連絡 くだ さい 。 
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